Que s’est-il passe ?
En janvier 2024, Hoerbiger Holding AG — un groupe industriel suisse de portee internationale avec siege a Zoug — a ete victime du ransomware Akira. Les attaquants ont accede aux systemes de l’entreprise, exfiltre plus de 50 Go de donnees confidentielles puis chiffre les systemes critiques.
Hoerbiger a refuse de payer la rancon demandee. En consequence, les attaquants ont publie les donnees volees sur leur site de fuites dans le Darknet — une tactique connue sous le nom de Double Extortion : d’abord la menace de chiffrement, puis la menace de publication des donnees.
Le groupe Akira est actif depuis mars 2023 et s’est specialise dans les entreprises industrielles, les PME et le secteur de la sante. Il utilise typiquement des acces VPN compromis sans authentification multifacteur comme porte d’entree.
Qui a ete touche ?
Hoerbiger est une entreprise mondiale avec plus de 6 000 employes dans plus de 40 pays :
- Employes dans le monde entier dont les donnees personnelles et salariales etaient potentiellement dans les 50+ Go voles
- Clients dans l’industrie petroliere, gaziere, des procedes et automobile dont les specifications techniques et les details contractuels ont pu etre compromis
- Fournisseurs et partenaires dont les informations commerciales pourraient apparaitre dans les donnees divulguees
- Sites de production dont le fonctionnement a ete restreint par le chiffrement des systemes IT
- Actionnaires de la Fondation Hoerbiger confrontes a des pertes de reputation et de valeur
Fait particulierement sensible : Hoerbiger est actif dans la technique de compression et d’entrainement et approvisionne notamment le secteur energetique. Les dessins techniques et les donnees de brevets comptent parmi les actifs les plus precieux de l’entreprise.
Quelle a ete l’ampleur des dommages ?
La publication de plus de 50 Go de donnees represente un dommage considerable et durable :
- Dommage IT direct : systemes chiffres, interruptions de production sur plusieurs sites
- Exposition des donnees : donnees commerciales confidentielles, informations du personnel et documents techniques accessibles publiquement sur le Darknet
- Desavantage concurrentiel : des concurrents pourraient avoir eu acces a des specifications techniques et des calculs de prix
- Couts de conformite : obligations de notification aupres des autorites de protection des donnees dans des dizaines de pays
Le dommage total est estime a CHF 15-40 millions.
Une cyberassurance aurait-elle aide ?
Analyse des couts et couverture d’assurance
| Poste de cout | Cout estime | Couvert par la cyberassurance ? |
|---|---|---|
| Reponse aux incidents et forensique | CHF 1-2 mio. | Oui — deploiement immediat de specialistes |
| Restauration des systemes et dechiffrement | CHF 2-4 mio. | Oui — prestation cle de la police |
| Interruption d’exploitation (production) | CHF 5-15 mio. | Oui — couverture perte de revenus |
| Demande de rancon | CHF 2-5 mio. | Partiellement — sur recommandation de l’assureur |
| Notifications protection des donnees (multi-juridictionnel) | CHF 500 000-1 mio. | Oui — charge reglementaire couverte |
| Responsabilite civile envers les tiers concernes | CHF 2-5 mio. | Oui — composante responsabilite cyber |
| Monitoring Darknet et protection de l’identite | CHF 200 000-500 000 | Oui — souvent inclus |
| Communication de crise et RP | CHF 300 000-800 000 | Oui — conseil mediatique professionnel |
| Dommage concurrentiel (perte de PI) | CHF 3-10 mio. | Non — dommage indirect a long terme |
| Atteinte a la reputation et perte de clients | CHF 2-5 mio. | Non — pas directement assurable |
| Dommage total estime | CHF 15-40 mio. | ~50-65 % potentiellement couvert |
Conclusion : Une cyberassurance aurait notamment absorbe les couts massifs de l’interruption d’exploitation et les demandes en responsabilite civile. Pour une entreprise de la taille de Hoerbiger, un plafond de couverture de CHF 20-30 millions aurait ete adequat.
Enseignements pour les PME suisses
-
La Double Extortion est la nouvelle norme : Les groupes ransomware ne se contentent plus de chiffrer — ils volent d’abord les donnees. Meme avec des sauvegardes parfaites, vos donnees confidentielles finissent quand meme sur le Darknet.
-
Le VPN sans MFA est une porte ouverte : Akira exploite systematiquement les acces VPN sans authentification multifacteur. L’introduction de la MFA est la mesure individuelle la plus efficace.
-
Les entreprises industrielles sont des cibles prioritaires : L’industrie manufacturiere est le segment le plus frequemment attaque apres le secteur de la sante.
-
La classification des donnees est decisive : Savez-vous quelles donnees causeraient le plus de dommages en cas de fuite ?
-
Ne pas payer est courageux, mais couteux : Hoerbiger a agi de maniere exemplaire en refusant de payer la rancon. La consequence — la publication des donnees — engendre cependant des couts considerables.
-
Le monitoring Darknet comme systeme d’alerte precoce : Apres une fuite de donnees, les donnees volees peuvent etre utilisees frauduleusement des mois ou des annees plus tard.
Protegez votre entreprise
Le cas Hoerbiger le demontre : dans le paysage moderne des menaces, de bonnes sauvegardes seules ne suffisent plus. La Double Extortion fait de chaque fuite de donnees un risque potentiel de reputation et de responsabilite.
Demandez un conseil sans engagement. Les experts de BTAG Versicherungsbroker AG a Berne connaissent les risques specifiques aux entreprises industrielles et trouvent la cyberassurance adaptee avec un plafond de couverture adequat.